Proteja a sua cadeia de abastecimento de software

Esta documentação foca-se principalmente nas práticas recomendadas que ajudam a proteger o seu software em todos os processos e sistemas na sua cadeia de abastecimento de software. Também inclui informações sobre como implementar algumas das práticas em Google Cloud.

• Salvaguardar a integridade das fontes
• Salvaguardar a integridade da compilação
• Gerir dependências
• Salvaguardar as implementações

Existem considerações adicionais para proteger o seu software que abrangem o ciclo de vida do software ou são práticas de programação fundamentais que suportam a segurança da cadeia de abastecimento de software. Por exemplo:

• Controlar o acesso físico e remoto aos sistemas.
• Implementar mecanismos de auditoria, monitorização e feedback para poder identificar e responder rapidamente a ameaças e à não conformidade com as políticas.
• Práticas de programação fundamentais, incluindo conceção, validação de entradas, saída para sistemas não fidedignos, processamento de dados, análise de código e criptografia.
• Práticas de DevOps fundamentais além das mencionadas nesta documentação, incluindo abordagens técnicas, processos de equipa e cultura organizacional.

• Adesão aos termos das licenças de software, incluindo licenças de código aberto para dependências diretas e transitivas.

  Algumas licenças de código aberto têm termos de licença restritivos que são problemáticos para software comercial. Em particular, algumas licenças exigem que disponibilize o seu código fonte ao abrigo da mesma licença que o software de código aberto que está a reutilizar. Se quiser manter o seu código-fonte privado, é importante conhecer os termos das licenças do software de código aberto que usa.

• Aumentar a sensibilização sobre a cibersegurança através da formação dos funcionários. De acordo com o State of Cybersecurity 2021, Part 2, um inquérito a profissionais de segurança de informações, a engenharia social foi o tipo de ataque mais frequente. Os participantes no inquérito também comunicaram que a formação em cibersegurança e os programas de sensibilização tiveram algum impacto positivo (46%) ou um forte impacto positivo (32%) na sensibilização dos funcionários.

Use os recursos nas secções seguintes para saber mais sobre estes tópicos.

Segurança ativada Google Cloud

Saiba como configurar a estrutura da organização, a autenticação e a autorização, a hierarquia de recursos, a rede, o registo, os controlos de deteção e muito mais no Google Cloud projeto de base empresarial, um dos guias no Google Cloud centro de práticas recomendadas de segurança.

Pode ver informações centralizadas sobre vulnerabilidades e possíveis riscos através destes serviços: Google Cloud

• Veja informações sobre vulnerabilidades e ameaças na sua Google Cloud organização com o Security Command Center.
• Receba informações sobre a utilização do seu serviço com o Recommender, incluindo recomendações que podem ajudar a reduzir o risco. Por exemplo, pode identificar os principais da IAM com autorizações excessivas ou projetos Google Cloud não supervisionados.

Para saber mais sobre a segurança no Google Cloud, consulte a secção de segurança do Google Cloud Website.

Práticas de DevOps e programação de software

Consulte a documentação sobre as capacidades de DevOps para saber mais sobre as práticas de DevOps que contribuem para uma entrega de software mais rápida e um software mais fiável e seguro.

Existem também práticas fundamentais para conceber, desenvolver e testar código que se aplicam a todas as linguagens de programação. Também tem de avaliar a forma como distribui software e os termos das licenças de software em todas as suas dependências. A Linux Foundation oferece formação online gratuita sobre estes tópicos:

• Desenvolver software seguro: práticas de desenvolvimento de software fundamentais no contexto da segurança da cadeia de abastecimento de software. O curso centra-se nas práticas recomendadas para conceber, desenvolver e testar código, mas também aborda tópicos como o processamento de divulgações de vulnerabilidades, casos de garantia e considerações para a distribuição e a implementação de software. A Open Source Security Foundation (OpenSSF) criou a formação.
• Noções básicas de licenciamento de código aberto para programadores Saiba mais sobre licenças e direitos de autor para projetos de código aberto.
• Introdução à gestão da conformidade com a licença de código aberto Saiba como criar um programa de conformidade de código aberto para a sua organização.

Desenvolver as suas políticas

À medida que implementa gradualmente as práticas recomendadas, documente as políticas da sua organização e incorpore a validação das políticas nos seus processos de desenvolvimento, compilação e implementação. Por exemplo, as políticas da sua empresa podem incluir critérios de implementação que implementa com a autorização binária.

• Produto seguro viável mínimo, uma lista de verificação de segurança de controlos para estabelecer uma postura de segurança de base para um produto. Pode usar a lista de verificação para estabelecer os seus requisitos mínimos de controlo de segurança e para avaliar o software de fornecedores externos.
• Publicação (SP 800-53) do NIST Security and Privacy Controls for Information Systems and Organizations.